ANALISIS RESIKO TEKNOLOGI INFORMASIJawab pertanyaan-pertanyaan dibawah ini dengan ketentuan sebagai berikut : 1. Pertanyaan dengan pilihan jawaban a,b,c...dst pilih salah satu yang anda anggap sesuai dengan kondisi di kantor anda2. Pertanyaan dengan pilihan jawaban I, II, III...dst pilih beberapa jawaban yang anda anggap sesuai dengan kondisi kantor andaBUSINESS PROFILE1. Berapa jumlah komputer dan laptop yang terhubung dengan jaringan kantora. Kurang dari 50b. 50 hingga 149c. 150 hingga 299d. 300 hingga 399e. 400 hingga 500f. Lebih dari 5002. Berapa jumlah server di kantora. Tidak adab. 1 hingga 5c. 6 hingga 10d. 11 hingga 25e. Lebih dari 253. Apakah kantor terhubung dengan internet selama 24 jama. Yab. tidak4. Apakah pelanggan dan vendor mengakses dapat mengakses jaringan internal melalui interneta. Yab. tidak5. Apakah kantor memiliki hosting internal untuk layanan portal atau website untuk pelanggan atau rekanana. Yab. tidak6. Apakah kantor memiliki layanan yang dapat digunakan bersama oleh karyawan, pelanggan dan rekanan dan diimplementasikan dalam segemen jaringan yang samaa. Yab. tidak7. Apakah rekanan atau pelanggan dapat terhubung langsung dengan backend jaringan internal untuk membaca, pemuktahiran fungsi lain terhadap dataa. Yab. tidak

8. Apakah basis data yang digunakan untuk mendukung aplikasi eksternal dengan layanan internal berada pada infrastruktur yang samaa. Yab. tidak9. Apakah karyawan dan vendor diijinkan untuk mengakses layanan internal dari luar kantora. Yab. tidak10. Apakah karyawan diijinkan untuk membuat sistem server pribadi di kantor seperti web server untuk penelitiana. Yab. tidak11. Apakah data konfidensil diijinkan untuk dialih mediakan untuk pemrosesan (diluar mekanisme standard seperti pita dan media backup lain)a. Yab. tidak12. Apakah jika ada pengecualian pada sistem pengamanan akan berdampak besar pada proses bisnis kantora. Yab. tidak13. Apakah kantor anda berbabagi ruang/gedung dengan kantor laina. Yab. tidak14. Apakah kantor anda mengembangkan aplikasia. Yab. tidak15. Apakah pengembang aplikasi diijinkan mengakses sumber daya internal dari luar kantor atau melakukan pengembangan jarak jauha. Yab. tidak16. Apakah kantor anda mengembangkan aplikasi untuk pelanggan, rekanan atau kelompok tertentua. Yab. tidak17. Apakah pengembang aplikasi diijinkan melakukan pengujian implementasi aplikasi dari luar kantora. Yab. tidak18. Apakah staf TI bertindak sebagai pembantu (bukan pengembang, hanya membantu vendor) pada pengembangan aplikasi bisnisa. Yab. tidak19. Apakah kantor membutuhkan data yang disimpan, diolah atau didistribusikan oleh pihak ketigaa. Yab. tidak20. Apakah data pelanggan disimpan di media yang sama dengan data/sumber daya kantora. Yab. tidak21. Apakah kantor anda bergantung pada vendor pengembang aplikasi untuk menyelenggarakan layanan bisnisa. Yab. tidak

22. Apakah kantor anda menyelenggarakan layanan yang membutuhkan pemrosesan data atau data mininga. Yab. tidak23. Apakah pemrosesan data oleh aplikasi internal kantor dianggap penting bagi operasional kantora. Yab. tidak24. Apakah aplikasi bisnis kantor yang dianggap penting dapat diakses melalui interneta. Yab. tidak25. Siapakah target pengguna aplikasi bagi kantor andaa. Karyawanb. Pelangganc. Karyawan dan Pelanggan26. Bagaimana cara mengakses aplikasi utamaa. Dari dalam kantorb. Dari dalam dan luar kantor27. Apakah vendor dan pelanggan terhubung dengan jaringan kantor melalui jaringan komputera. Yab. tidak28. Apakah kantor anda memperoleh keuntungan dari penyimpanan dan distribusi dataa. Yab. tidak29. Apakah telah terjadi pergantian teknologi secara besar-besaran dalam 6 bulan terakhira. Yab. tidak30. Apakah kantor anda mengandalkan penerimaan data dari pihak ketigaa. Yab. tidak31. Apakah insiden pada aplikasi pelanggan atau infrastruktur (seperti listrik yang situs atau kegagalan perangkat keras atau aplikasi) berdampak pada keuntungan kantora. Yab. tidak32. Apakah kantor anda menyimpan data penting pelanggana. Yab. tidak33. Apakah komponen infrastruktur atau aplikasi pelanggan bergantung pada akses ke sumber daya di dalam kantora. Yab. tidak34. Apakah komponen infrastruktur atau aplikasi pelanggan berbagi pakai dengan pelanggan laina. Yab. tidak35. Apakah teknologi informasi penting bagi kantor andaa. Yab. tidak

36. Apakah semua karyawan menggunakan komputer saat bekerjaa. Yab. tidak37. Apakah perawatan atau bahkan kepemilikan infrastruktur dilakukan oleh pihak ketigaa. Yab. tidak38. Apakah kantor anda memiliki rencana jangkan menengah dan jangka panjang untuk investasi teknologia. Yab. tidak39. Apakah kantor anda berusaha menjadi yang pertama dalam mengadopsi teknologia. Yab. tidak40. Apakah teknologi yang dipilih berdasarkan perjanjian hak cipta atau kerjasama tertentua. Yab. tidak41. Apakah teknologi yang dipilih dibatasi oleh pengetahuan/kemampuan staf TIa. Yab. tidak42. Bila kantor anda melakukan akusisi, apakah jaringan kantor akan diperluas kepada kantor baru tersebuta. Yab. tidak43. Apakah karyawan diijinkan mengunduh data pelanggan atau data perusahaan lain yang sensitifa. Yab. tidak44. Apakah akses karyawan kepada informasi dibatasi oleh perannya dalam kantora. Yab. tidak45. Apakah kantor anda mengimplementasikan teknologi baru sebelum menguji keamanannyaa. Yab. Tidak46. Apakah aku kredensial diubah menjadi akun khusus secara rutina. Yab. tidak47. Apakah perubahan aku kredensial menjadi khusus dilakukan setelah mendapat persetujuan dari akun diatasnyaa. Yab. tidak48. Kantor anda bergerak di segmena. Layanan TIb. Keuanganc. Industri / Manufakturd. Hukume. Periklananf. Perdagangang. Lain-lain49. Berapa ukuran perusahaana. Kurang dari 10 orangb. 10 hingga 49 orangc. 50 hingga 149 orangd. 150 hingga 299 orange. 300 hingga 399 orangf. 400 hingga 500 orangg. Lebih dari 500 orang50. Apakah kantor anda memiliki cabanga. Yab. tidak51. Apakah kantor anda berfokus pada penelitian sehingga spionase dan hak cipta sangat diperhatikana. Yab. tidak52. Apakah teknologi di kantor anda memiliki nilai balik yang tinggia. Yab. tidak53. Apakah kantor anda lebih tertarik pada satu merek teknologia. Yab. tidak54. Apakah di kantor anda apa aplikasi yang sudah tidak didukung pengembanga. Yab. tidak55. Apakah vendor aplikasi anda memiliki reputasi yang baika. Yab. TidakAPLIKASI1. Apakah perusahaan anda memiliki aplikasi bisnis? Yesa. Yab. Tidak2. Apakah anda menggunakan Custom Macros untuk aplikasi Office (seperti Word, Excel atau Access)? Yesa. Yab. Tidak3. Mekanisme apa saja yang memastikan ketersediaan aplikasi? a. Load Balancingb. Clusteringc. Testing aplikasi secara beraturan dan Data Recoveryd. Tidak ada4. Apakah tim internal perusahaan telah mengembangkan salah satu aplikasi penting yang diterapkan di lingkungan anda?a. Yab. Tidak5. Apakah tim development internal perusahaan menyediakan upgrade software secara teratur, security patches dan dokumentasi pada mekanisme keamanan?a. Yab. Tidak6. Apakah konsultan/vendor luar mengembangkan salah satu aplikasi penting yang diterapkan di lingkungan anda?a. Yab. Tidak7. Fase pengembangan apa saja yang melibatkan jasa konsultan/vendor?a. Designb. Code Developmentc. Testing / Quality Assuranced. Final Review8. Apakah vendor luar menyediakan upgrade software secara teratur, security patches dan dokumentasi pada mekanisme keamanan?a. Yab. Tidak9. Metodologi pengembangan keamanan software apa saja yang dipraktekkan pada perusahaan anda?a. CLASPb. Cigital-Touchpointsc. Microsoft Security Development Lifecycled. TSP(sm) for Secure Systems Developmente. Yang lainf. Tidak ada10. Apakah perusahaan anda mengetahui kelemahan keamanan yang sekarang ini masih ada dalam aplikasi yang telah digunakan?a. Yab. Tidak11. Apakah perusahaan anda mempunyai prosedur untuk mengatasi kerentanan keamanan?a. Yab. Tidak

12. Apakah perusahaan anda memberikan training security untuk staf bagian development & testing?a. Yab. Tidak13. Berapa persenkah staf bagian development & testing di perusahaan anda yang ditraining untuk praktek pengembangan keamanan?a. 100%b. 75%c. 50%d. 25%e. 10%f. 014. Apakah perusahaan anda melakukan update tahunan atas training pengembangan security yg diberikan kepada staf development? a. Ya, Rutinb. Ya, Kadang-kadangc. Tidak15. Apakah perusahaan anda bergantung pada beberapa software sebagai bagian dari proses pengujian dan audit untuk pengembangan perangkat lunak yang aman?a. Ya, untuk semua proyekb. Ya, untuk beberapa proyekc. Tidak16. Apakah saat ini ada kontrol yang mengatur kebijakan password untuk aplikasi yang penting?a. Yab. Tidak

17. Pilih kontrol password yang diberlakukan di seluruh aplikasi penting:a. Complex Passwordsb. Password Expirationc. Account Lockout18. Pilih metode otentikasi yang paling umum digunakan untuk aplikasi penting dari daftar di bawah ini?a. Multifactor autheticationb. Tidak adac. Simple Passwordd. Complex Password19. Apakah aplikasi penting di lingkungan anda memiliki mekanisme yang membatasi akses ke data sensitif dan funsional ?a. Yab. Tidak20. Apakah aplikasi penting di lingkungan anda mencatat pesan-pesan di dalam log file untuk keperluan analisis dan audit?a. Yab. Tidak21. Pilih jenis kejadian pada saat login :a. Failed Authentication Attemptsb. Successful Authenticationsc. Application Errorsd. Access Denied To Resourcese. Success Access to Resourcesf. Changes to Datag. Changes to User Accounts22. Apakah data input data divalidasi oleh aplikasi yang digunakan?a. Yab. Tidak23. Pilih input aplikasi dari daftar di bawah ini untuk validasi yang dilakukan:a. End Usersb. Client Applicationsc. Data Feeds24. Apakah aplikasi utama melakukan enkripsi atas data bisnis yang sensitif dan penting pada saat diproses?a. Yab. Tidak25. Pilih tahapan yang berbeda dimana enkripsi digunakan :a. Transmission and Storageb. Transmissionc. Storage26. Algoritma enkripsi berikut mana sajakah yang digunakan ?i. Data Encryption Standard (DES)ii. Triple DES (3DES)iii. RC2,RC4,RC5iv. Advance Encryption Standard (AES4 /Rijndael)v. MD5 Hashvi. SHA-1 Hashvii. Twofishviii. Blowfishix. Algoritma pribadi perusahaanx. Tidak TahuINFRASTRUKTUR1. Apakah perusahaan anda menggunakan firewall atau kontrol akses untuk menjaga aset perusahaan?a. Yab. Tidak2. Apakah perusahaan anda menggunakan kontrol ini pada setiap lokasi kantor?a. Yab. Tidak3. Apakah perusahaan anda menggunakan DMZ yang memisahkan jaringan internal dan eksternal untuk pelayanan?a. Yab. Tidak4. Apakah perusahaan anda memiliki layanan internet di jaringan perusahaan?a. Yab. Tidak5. Apakah perusahaan anda menggunakan perangkat lunak firewall untuk melindungi server-server?a. Yab. Tidak6. Apakah perusahaan anda menggunakan perangkat keras atau perangkat lunak pendeteksi gangguan untuk mengidentifikasi serangan?a. Yab. Tidak7. Pilih tipe sistem pendeteksi gangguan yang digunakan?i. Network Based IDS (NIDS)ii. Host Based IDS (HIDS)8. Apakah solusi anti virus diimplementasikan di lingkungan anda?a. Yab. Tidak9. Pilih sistem yang telah menggunakan anti virus?i. Server E-Mailii. Pengelola Host (gateway, proxy, relay, dll)iii. Desktopiv. Server (Web, Basis data)10. Apakah akses jarak jauh ke jaringan perusahaan tersedia?a. Yab. Tidak11. Pilih siapa yang dapat mengakses ke jaringan perusahaan secara jarak jauh?a. Pegawaib. Kontraktorc. Vendor, pelanggan atau pihak ketiga terpercaya lain12. Apakah teknologi VPN digunakan untuk menyediakan sambungan yang aman terhadap aset perusahaan oleh pengguna akses jarak jauh?a. Yab. Tidak

13. Apakah VPN dapat membatasi semua sambungan ke jaringan tertentu sampai client melewati semua pemeriksaan keamanan?a. Yab. Tidak14. Apakah multi autentikasi diperlukan untuk pengguna akses jarak jauh?a. Yab. Tidak15. Apakah jaringan memiliki lebih dari satu segmen?a. Yab. Tidak16. Apakah segmentasi jaringan yang digunakan untuk memisahkan customer eksternal dan layanan extranet dari aset perusahaan?a. Yab. Tidak17. Apakah perusahaan anda mengelompokan host kedalam segmen jaringan berdasarkan fungsi yang sama atau layanan yang diberikan?a. Yab. Tidak18. Apakah perusahaan anda mengelompokan host kedalam segmen jaringan berdasarkan penyedia layanan yang diperlukan oleh pengguna untuk terhubung?a. Yab. Tidak19. Apakah sudah dibuatkan rencana dan dokumentasi untuk mengatur alokasi alamat dari TCP/IP untuk sistem sesuai dengan segmen yang dibutuhkan?a. Yab. Tidak20. Apakah koneksi wireless ke jaringan tersedia?a. Yab. Tidak21. Manakah dari kontrol keamanan yang digunakan untuk mengatur sambungan ke jaringan wireless?i. Changing the default/preset network name (also known as Service Set Identifier, or SSID) on the access pointii. Menonaktifkan SSID boardcastiii. Mengaktifkan Wired Equivalent Privacy (WEP)iv. Mengaktifkan Wi-Fi Protected Access (WPA)v. Pembatasan hardware atau alamat fisik (biasa dikenal Media Access Control, or MAC) vi. Koneksi nirkabel dilakukan diluar firewall atau diluar segmen jaringan kabel22. Apakah saat ini sudah ada kontrol untuk mengatur kebijakan password pada berbagai jenis account?a. Yab. Tidak23. Pilih account yang saat ini ada untuk mengontrol kebijakan password?i. Administratorii. Useriii. Remote Access24. Indikasikan pilihan autentikasi yang digunakan oleh akses administratif untuk mengelola perangkat dan host?a. Otentikasi multifaktorb. Tidak Adac. Password sederhanad. Password Kompleks25. Indikasikan pilihan autentikasi yang digunakan untuk jaringan internal dan akses host oleh pengguna internal?a. Otentikasi multifaktorb. Tidak Adac. Password sederhanad. Password Kompleks26. Indikasikan pilihan autentikasi yang digunakan untuk akses jarak jauh oleh pengguna?a. Otentikasi multifaktorb. Tidak Adac. Password sederhanad. Password Kompleks27. Apakah penguncian account diaktifkan untuk memblokir akses terhadap account yang dalam sejumlah waktu gagal untuk melakukan login?a. Yab. Tidak28. Apakah perusahaan anda memiliki proses peninjauan administrasi yang tidak aktif, penggunaan internal, vendor, dan pengguna akses jarak jauh?a. Yab. Tidak29. Apakah perusahaan anda mengkonfigurasi sistem secara sendiri atau dilakukan oleh penjual perangkat keras?a. Dibangun oleh Pegawab. Dibangun oleh penjual perangkat keras30. Manakah dari berikut ini dibangun berdasarkan dari sebuah image atau sebuah konfigurasi yang secara formal didokumentasikan?i. Workstations dan Laptopii. Serveriii. Tidak ada31. Apakah konfigurasi ini termasuk prosedur hardening?a. Yab. Tidak32. Manakah dari berikut ini solusi yang telah terpasang pada tempat kerja karyawan dan laptop?a. Personal firewall softwareb. Spyware detection dan removal softwarec. Disk encryption softwared. Remote control / management softwaree. Password-protected screen saverf. Modem33. Apakah perusahaan anda memiliki prosedur formal untuk respon insiden?a. Yab. Tidak

34. Apakah perusahaan anda memiliki kebijakan dan prosedur untuk melaporkan masalah keamanan atau insiden?a. Yab. Tidak35. Apakah kontrol keamanan fisik sudah dipasang untuk melindungi aset perusahaan?a. Yab. Tidak36. Manakah dari kontrol keamanan berikut ini yang digunakan?i. Sistem alarm untuk mendeteksi penyusupanii. Peralatan jaringan (switches, cabling, Internet connection) diamankan di ruangan terrkunci dan akses terbatasiii. Peralatan jaringan terkunci di lemari/rakiv. Server terkunci didalam ruangan dengan akses terbatasv. Server terkunci di lemari/rakvi. Workstation diamankan dengan rantai/teralisvii. Laptop diamankan dengan rantaiviii. Dokumen fisik rahasia disimpan dilemari terkunci37. Manakah dari akses kontrol keamanan fisik yang digunakan?i. ID pegawai dan tamuii. Pengawalan terhadap tamuiii. Pencatatan data tamuiv. Kendali pintu masukPEOPLE1. Apakah memiliki seseorang atau sekelompok orang yang bertanggung jawab dalam segi keamanan perusahaan?a. Yab. Tidak2. Apakah individu dan kelompok tersebut memiliki keahlian dalam bidang keamanan?a. Yab. Tidak3. Apakah individu atau kelompok tersebut terlibat dalam mendefinisikan kebutuhan keamaanan terhadap teknologi yang baru dan teknologi yang sudah ada?a. Yab. Tidak4. Pada tahapan manakah dari siklus teknologi yang melibatkan individu atau sekelompok orang yang bertanggung jawab dalam hal keamanan ?i. Perencanaan dan Desainii. Implementasiiii. Testingiv. Penerapan5. Apakah peranan dan tanggung jawab ditetapkan dengan baik untuk setiap individu yang terlibat dalam keamanan informasi ?a. Yab. Tidak6. Apakah melakukan penilaian keamanan terhadap lingkungan melalui pihak ketiga yang independen ?a. Yab. Tidak7. Seberapa sering penilaian/evaluasi penilaian keamanan (pada nomor 6) dilakukan ?a. Tiap 3 bulanb. Tiap 6 bulanc. Tiap 1 tahund. Tiap 2 tahun atau kurang8. Pilihan bidang analisis yang terlibat didalam penilaian penilaian keamanan (pada nomor 6)i. Infrastrukturii. Aplikasiiii. Kebijakan / Aturaniv. Audit9. Apakah melakukan penilaian keamanan lingkungan secara internal?a. Yab. Tidak10. Seberapa sering penilaian/evaluasi keamanan lingkungan (pada nomor 9) dilakukan ?a. Tiap 3 bulanb. Tiap 6 bulanc. Tiap 1 tahund. Tiap 2 tahun atau kurang11. Pilihan bidang analisis yang terlibat didalam penilaian keamanan lingkungan (pada nomor 9)i. Infrastrukturii. Aplikasiiii. Kebijakan / Aturaniv. Audit12. Apakah dilakukan pemeriksaan terhadap latar belakang sebagai salah satu proses penyeleksiaan pekerja ?a. Yab. Tidak13. Pilihlah pilihan mana yang paling tepat untuk pemeriksaan terhadap latar belakang sebagai salah satu proses penyeleksiaan pekerjaa. Pemeriksaan latar belakang untuk seluruh calon pegawaib. Pemeriksaan latar belakang untuk calon pegawai di posisi kritis / sensitif14. Apakah mempunyai prosedur yang formal apabila karyawan ingin keluar dari perusahaan ?a. Yab. Tidak15. Pilihlah pilihan mana yang merupakan kebijakan formal apabila seorang karyawan ingin keluar (berhenti bekerja)a. Hostile Exitsb. Friendly Exits16. Apakah perusahaan memiliki sebuah kebijkasaan dalam mengatur hubungan pihak ketiga ?a. Yab. Tidak17. Apakah ada "awarness program" ?a. Yab. Tidak18. Berapa persen karyawan telah berpartisipasi dalam "awarness program" ?a. Kurang dari 25%b. 25% - 49%c. 50% - 75%d. Lebih dari 75%19. Topik "awarness" mana yang telah masuk kedalam pelatihan ?i. Company security policies and controlsii. Reporting suspicious activityiii. Privacyiv. E-mail security, including spam and attachment handlingv. Internet security, including web surfing and downloadsvi. Computer security, including use of personal firewalls and encryption20. Seberapa seringkah pelatihan ini ditawarkan terhadap karyawan ?a. Tiap 3 bulanb. Tiap 6 bulanc. Tiap 1 tahund. Tiap 2 tahun atau kurang21. Apakah pelatihan yang ditawarkan kepada karyawan sesuai dengan peranannya ?a. Yab. Tidak22. Pilihan pelatihan apa saja yang dilakukan sesuai dengan peranan masing-masing karyawan ?i. Operations Securityii. Infrastructure Securityiii. Application Securityiv. Incident Readiness and ResponseOPERATIONS1. Bagaimana pengelolaan lingkungan TI ?a. Pengelolaan dilakukan kantorb. Pengelolaan dilakukan pihak luar2. Apakah kantor anda menggunakan manajemen hosts yang secara khusus menjamin keamanan pengelolaan sistem dan peralatan ?a. Yab. Tidak3. Sistem apa saja yang menggunakan manajemen hosts secara khusus !i. Sistem/peralatan jaringanii. Server4. Apakah login untuk kegiatan normal/operasional dan kegiatan administratif/management dilakukan secara terpisah ?a. Yab. Tidak5. Apakah user diijinkan untuk mengakses komputer / laptop mereka sebagai administrator ?a. Yab. Tidak6. Apakah firewall diuji secara rutin untuk menjamin kinerjanya ?a. Yab. Tidak7. Apakah kantor anda memiliki Rencana Pemulihan Bencana (Disaster Recovery Plan) dan Rencana Pemulihan Pelaksanaan Bisnis (Business Resumption Plan) ?a. Yab. Tidak8. Apakah kedua rencana (di nomor 7) diuji secara rutin ?a. Yab. Tidak9. Apakah ada model untuk menguji titik kritis pada setiap level komponen lingkungan TI ?a. Yab. Tidak10. Apakah ada kebijakan/aturan pengelolaan komputer dan peralatan pendukungnya ?a. Yab. Tidak11. Apakah ada kebijakan/aturan pengamanan informasi untuk pengelolaan pengamanan operasional kantor ?a. Yab. Tidak12. Siapa saja yang terlibat dalam pembuatan kebijakan/aturan ?a. Hanya bagian Teknologi Informasib. Hanya bagian Bisnisc. Bagian Teknologi Informasi dan Bisnis13. Apakah ada pengujian terhadap kebijakan/aturan ?a. Yab. Tidak14. Apakah ada kebijakan pengelolaan akun user ?a. Yab. Tidak15. Bagaimana kebijakan pengelolaan akun user dilakukan ?i. Akun pribadi (satu orang satu akun)ii. Akun khusus (super admin/root) dan akun umum (administrator) untuk administratoriii. Mengandalkan kekuatan passwordiv. Menonaktifkan akun saat pegawai keluar16. Apakah ada proses terdokumentasi untuk membangun sebuah host ? (untuk jenis host yang bagaimana proses dokumentasi itu dilakukan)i. Peralatan infrastrukturii. Serveriii. Workstation dan laptopiv. Tidak Ada17. Apakah ada panduan terdokumentasi untuk pengaturan protokol dan layanan yang diperbolehkan di jaringan kantor ? (Pilih opsi yang berlaku)a. Panduan ada dan terdokumentasi dengan baikb. Panduan ada tapi tidak terdokumentasic. Tidak ada panduan18. Apakah ada proses formal yang terdokumentasi dengan baik untuk penghapusan data baik secara elektronik maupun fisik (kertas) ?a. Yab. Tidak19. Apakah ada skema klasifikasi data yang berhubungan dengan standard pengamanan ?a. Yab. Tidak20. Apakah ada ada manajemen proses dan perubahan konfigurasi ?a. Yab. Tidak21. Apakah ada dokumentasi konfigurasi untuk referensi ?a. Yab. Tidak22. Apakah perubahan konfigurasi diuji terlebih dahulu sebelum digunakan pada sistemoperasional ?a. Yab. Tidak23. Apakah kepatuhan konfigurasi di monitor secara terpusat ?a. Yab. Tidak24. Apakah ada kebijakan/aturan pembaharuan atau tambalan (patch) ?a. Yab. Tidak25. Pilih komponen pembaharuan atau tambalan yang ada ?a. Sistem Operasib. Aplikasic. Sistem Operasi dan Aplikasi26. Apakah tambalan diuji sebelum diimplementasikan ?a. Yab. Tidak27. Apa yang digunakan untuk mengelola dan mengimplementasikan tambalan ?i. Windows Automatic Updateii. Windows Update Websiteiii. Windows Server Update Services (WSUS)iv. System Management Server (SMS)v. Pengelolaan tambalan jenis lainvi. System Center Configuration Manager (SCCM)28. Dimana otomatisasi manajemen tambalan digunakan ?i. Workstation dan laptopii. Server29. Apakah ada kebijakan pemeriksaan sertifikasi digital untuk mengelola pembaharuan produk (software) ?i. Antivirusii. Intrusion Detection Systemiii. Tidak Ada30. Apakah ada Logical Diagrams dan dokumentasi konfigurasi pendukung yang akurat untuk infrastruktur jaringan dan hosts ?a. Yab. Tidakc. Ada tapi sudah kuno31. Apakah ada Application Architecture Digram dan Data Flow Diagram yang akurat untuk aplikasi penting ?a. Yab. Tidak32. Untuk aplikasi apa diagram diatas (nomor 31) ada ?a. Hanya untuk aplikasi dari luarb. Hanya untuk aplikasi yang dikembangkan di dalamc. Untuk semua aplikasi33. Apakah dimungkinkan merekam aktivitas di host dan perangkat keras ?a. Yab. Tidak34. Apakah ada langkah-langkah pengamanan terhadap informasi rekam jejak (log) ?i. Sistem operasi dan aplikasi dirancang untuk tidak menghapus sistem lamaii. Rekam jejak disimpan berdasarkan prioritas untuk menjamin ketersediaan penyimpananiii. Akses terhadap rekam jejak terbatas untuk administratoriv. Seluruh rekam jejak di dalam sistem disimpan pada satu server35. Apakah ada tinjauan terhadap rekam jejak (log) ?a. Yab. Tidak36. Seberapa sering rekam jejak (log) ditinjau ?a. Harianb. Mingguanc. Bulanand. Jika Diperlukane. Tidak Tahu37. Apakah data penting dan sensitif di backup secara rutin ?a. Yab. Tidak38. Apakah ada kebijakan dan prosedur penanganan media backup ?a. Yab. Tidak39. Kebijakan dan prosedur penanganan media backup apa yang ada ?i. Penyimpanan backup diluar lokasi utama (Offsite storage)ii. Penyimpanan disimpan di lemari tahan apiiii. Pembatasan akses ke fisik media penyimpananiv. Rotasi dan perawatan media backup40. Apakah ada kebijakan untuk pengujian prosedur backup dan restore ? dan apakah kebijakan ini terdokumentasi ?a. Yab. TidakSystem Security FIK Universitas Pembangunan Nasional "Veteran"